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Pełny zapis przebiegu posiedzenia 


Komisji 


Cyfryzacji, Innowacyjności i Nowoczesnych 


Technologii (nr 13) 


10 marca 2016r. 
Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, obradująca pod 


przewodnic 
rozpatrzyła: 


— informacj 
wości Unii 


twem posła Pawła Pudłowskiego (N), przewodniczącego Komisji, 


ę o konsekwencjach prawnych wyroku Trybunału Sprawiedli- 
Europejskiej w sprawie C-362/14 Schrems, wpływie wyroku 


na prawa podstawowe obywateli UE oraz funkcjonowanie transatlantyc- 
kiego rynku handlu i usług elektronicznych i działaniach podjętych przez 
GIODO w celu wdrożenia postanowień wyroku w zakresie przekazywania 
danych osobowych z terytorium Polski do USA. 


W posiedzeniu 


udział wzięli: Witold Kołodziejski sekretarz stanu w Ministerstwie Cyfryzacji wraz 


ze współpracownikami, Andrzej Lewiński zastępca Generalnego Inspektora Ochrony Danych Oso- 
bowych wraz ze współpracownikami, Jakub Lewandowski przedstawiciel Polskiej Izby Informatyki 


i Telekomunik 


acji, Magdalena Piech ekspert w Departamencie Prawnym Konfederacji Lewiatan, 


Marzena Tabor starszy specjalista w Wydziale Europejskiego Prawa Cywilnego w Departamencie 


Legislacyjnym 
Technicznej. 


W posiedzeniu 


w Ministerstwie Sprawiedliwości, Kamil Wójcik przedstawiciel Naczelnej Organizacji 


udział wzięli pracownicy Kancelarii Sejmu: Ewa Gast i Julia Popławska — z sekreta- 


riatu Komisji w Biurze Komisji Sejmowych. 


Przewodniczący poseł Paweł Pudłowski (N): 


Szanowni państwo, otwieram 13 posiedzenie Komisji Cyfryzacji, Innowacyjności i Nowo- 
czesnych Technologii. Witam państwa posłów i zaproszonych gości. Stwierdzam kwo- 
rum. Porządek dzisiejszego posiedzenia to rozpatrzenie informacji o konsekwencjach 
prawnych wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-362/14 
Schrems, wpływie wyroku na prawa podstawowe obywateli Unii Europejskiej oraz funk- 
cjonowanie transatlantyckiego rynku handlu i usług elektronicznych i działaniach pod- 
jętych przez GIODO w celu wdrożenia postanowień wyroku w zakresie przekazywania 
danych osobowych z terytorium Polski do Stanów Zjednoczonych. Powyższy porządek 
i materiały członkowie Komisji otrzymali. Czy są uwagi do zaproponowanego porządku 
dziennego? Nie słyszę uwag. Stwierdzam, że Komisja przyjęła porządek dzienny posie- 
dzenia bez zmian. 

Przystępujemy więc do realizacji porządku dziennego. Uprzejmie proszę o przedsta- 
wienie informacji zastępcę Generalnego Inspektora Ochrony Danych Osobowych pana 
Andrzeja Lewińskiego. 


Zastępca Generalnego Inspektora Ochrony Danych Osobowych Andrzej Lewiński: 


Panie przewodniczący, Wysoka Komisjo. Jesteśmy zaszczyceni, że możemy wprowadzić 
temat, który jest tak ważny dla ochrony danych osobowych, ale nie tylko, bo również dla 
współpracy gospodarczej Europy ze Stanami Zjednoczonymi. Można powiedzieć, że on 
jest w trakcie aktywnych prac, zarówno Komisji Europejskiej, jak i Stanów Zjednoczo- 
nych, w których prowadzi je głównie Departament Handlu. Zeby wprowadzić szanow- 
nych państwa do tematu, to powiem kilka słów dotyczących przeszłości rozwoju Inter- 
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netu i jak się to obserwowało. Internet był początkowo tylko na usługach militarnych, 
czyli wojska. W chwili kiedy Internet zaczął odgrywać rolę w obrocie gospodarczym, 
a zaczęło się, jeśli się nie mylę, w Los Angeles, gdzie pojawiła się w Internecie pierwsza 
pizzeria, to przy dużym wzroście ochrony danych osobowych w Europie, pierwsza ustawa 
w Hesji, potem dyrektywa 95/46, bo to się wszystko zaczęło w początku 2000 r., okazało 
się, że to jest duża różnica, można powiedzieć nawet, że była to bardzo duża różnica 
pomiędzy spojrzeniem na prawo do prywatności i ochrony danych osobowych w Europie 
i w Stanach Zjednoczonych. Pewne zasady, które potem stały się prawami podstawowymi 
Europy, są dosyć wolno i dosyć liberalnie potraktowane w Stanach Zjednoczonych, 
a do tego jeszcze przy pewnym wzroście zagrożenia atakami terrorystycznymi doszedł 
również element bezpieczeństwa państwa. Wtedy gdy prowadzone były pertraktacje 
z Komisją Europejską w 2000 r., to nawet w prasie amerykańskiej ukazywały się arty- 
kuły pod tytułem „Wojna z Unią Europejską”. To chodziło o ułatwienie możliwości 
w prowadzeniu działalności gospodarczych, a nierozerwalnie z tym aspektem powiązane 
jest przetwarzanie danych. To jest Google, Facebook, YouTube i szereg innych, również 
takich, na które nie zwracano uwagi i to jest na przykład przekazywanie informacji 
w ramach programu Swift o pewnych bankowych przelewach do wysokości określonej 
kwoty i to jest uboczna sprawa, ale te elementy ciągle się pojawiały. Wtedy w Komisji 
Europejskiej doszli do wniosku, że powinno dojść do porozumienia podobnego do tego, 
jakie się dziś toczy, że Amerykanie stworzą program „Safe Harbour”, czyli „Bezpieczna 
przystań” i kto zaakceptuje założenia tego programu i podpisze akces, to po stronie 
europejskiej następuje domniemanie, że dane osobowe są przetwarzane należycie — bez- 
pieczeństwo i możliwości wypełnienia uprawnień spraw podstawowych. Szczegóły może 
uzupełnić obecny dziś ze mną pan dyrektor Drobek, który od kilkunastu lat specjalizuje 
się w tych dziedzinach. Przeskakując dalej, bomba wybuchła przy aferze Snowdena. 
Raptem cały świat się dowiedział, że nasze dane osobowe są przetwarzane. Również 
przetwarzane w serwerowni w Stanach Zjednoczonych, na przykład w słynnym stanie 
Utah, to jest przetwarzanie danych, pomimo że są one pobierane i przetwarzane na przy- 
kład na terenie Europy przez Facebook. To jest jednak przetwarzanie, przechowywanie 
i wykonywanie wielu funkcji w Stanach Zjednoczonych, to jest już transfer i to jest 
prawnie określone jako transfer do kraju trzeciego, a ten trzeci kraj musi spełniać okre- 
ślone warunki. Tutaj jeśli chodzi o spełnienie tych warunków, to istniało domniemanie 
dotyczące programu „Safe Harbour”. No i pojawił się, proszę państwa, student z Austrii 
Maximilian Schrems, który wymyślił sobie, że będzie pisał pracę magisterską na temat 
przetwarzania danych osobowych przez Facebook. Jak to się zaczynało i jakie były tego 
szczegóły, nie będę mówił, bo to była długa droga, dlatego powiem tylko w skrócie, 
że napisał do Facebooka, a każdy z nas ma takie prawo, żeby napisać do każdego admi- 
nistratora danych i poprosić o informację, co na nasz temat jest przetwarzane ion 
to zrobił. Otrzymał w odpowiedzi 1700 stron informacji dotyczących jego aktywności 
na Facebooku, co go przeraziło. Zainicjował ruch społeczny i próbował dojść swoich praw 
przez organ ochrony danych osobowych w Austrii i dostał odpowiedź negatywną. 
W sądzie powszechnym też próbował, gdzie również przegrał między innymi dlatego, 
że przedstawicielem Facebooka jest Irlandia, gdyż główna siedziba Facebooka na Europe 
jest w Irlandii. Dotarło to do Irlandii, gdzie przegrał oczywiście w pierwszej i drugiej 
instancji z organem ochrony danych. Po uprawomocnieniu się decyzji organu, sprawa 
znalazła się w sądzie i tam w pierwszej instancji pan Schrems wystąpił z pytaniem pre- 
judycjalnym do sądu, aby zapytać Europejski Trybunał Sprawiedliwości jaka jest jego 
opinia w tej sprawie. Każdy z nas ma prawo, zarówno osoba fizyczna, jak i prawna, 
w ramach toczących się postępowań sądowych, gdy jest przekonany, że zarówno inter- 
pretacja, jak i przepis prawa danego kraju są niezgodne z prawem europejskim, postawić 
wniosek o pytanie prejudycjalne, żeby sąd zapytał o to Trybunał Sprawiedliwości Unii 
Europejskiej. Trybunał Sprawiedliwości orzekł, że decyzja Komisji Europejskiej, można 
to nazwać, jest bezprawna, gdyż nie wypełnia wielu funkcji i zastępuje organ ochrony 
danych osobowych, a ocena stanu ochrony danych osobowych w Stanach Zjednoczonych 
została oceniona bardzo negatywnie. To tak w skrócie. Natomiast teraz sytuacja jest 
taka, my państwu przekazaliśmy w tym materiale informacyjnym, że w tej chwili Komi- 
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sja Europejska rozpoczęła, a może już w tej chwili zakończyła, konsultacje z Komisją 
Handlu Stanów Zjednoczonych i w tej chwili została zamknięta taka sytuacja. Teraz jest 
niebezpieczna propozycja — tarcza prywatności Unii Europejskiej i Stanów Zjednoczo- 
nych, gdyż w tej chwili jak można przetwarzać dane na przykładach Facebooka, zawsze 
musimy badać podstawę prawną, tej podstawy prawnej w tej chwili nie ma, bo podstawa 
prawna na mocy „Safe Harbour” została wyeliminowana, czyli że są jeszcze dwie pod- 
stawy prawne, standardowe klauzule, które wydaje Komisja Europejska i co do tego też, 
patrząc na orzeczenie Trybunału Sprawiedliwości, mogą być wątpliwości i co wydaje 
organ, czyli wiążące reguły korporacyjne. W piśmie napisaliśmy i monitowaliśmy naszych 
przedstawicieli w Grupie Artykułu 29. To jest taka grupa, która została ustanowiona 
dyrektywą w sensie interpretacji prawa i pewnego doradztwa dla organów europejskich, 
że należy podjąć pewne decyzje i wykonać już na szczeblu europejskim, bo musielibyśmy 
rozpatrywać każdą sprawę i na dzień dzisiejszy w świetle prawa — ja, jako radca prawny 
z zawodu, uznałbym to za niezgodne z prawem — i zakazać przetwarzania danych. 
My w piątek mieliśmy duże spotkanie z kierownictwem europejskim Facebooka dotyczą- 
cym tych tematów, czyli dziś już są zakończone prace Komisji Europejskiej i przedstawi- 
cieli Stanów Zjednoczonych. Grupa Artykułu 29 będzie zobowiązana do wydania obliga- 
toryjnej opinii i również Rada Europy, czyli przedstawiciele Polski, a więc rząd będzie 
musiał też mieć do tego określone stanowisko, a dziś nie jest to jeszcze nawet przetłu- 
maczone z języka angielskiego i trudno nawet określić jakby to wyglądało. Będą wątpli- 
wości na pewno, będą skargi różnych środowisk do Trybunału Sprawiedliwości, bo ona 
znowu w części na jakimś domniemaniu będzie się opierać, ale my wiemy, że również 
w postępowaniu przy transatlantyckim porozumieniu handlowym sprawa ochrony 
danych osobowych nie w sednie sprawy tylko z boku, jest niezwykle istotna, bo jest 
wielki nacisk wielkich amerykańskich korporacji internetowych, żeby profilować dane 
użytkowników Facebooka, Google i szeregu innych portali czy wyszukiwarek, żeby pro- 
filować użytkowników bez zgody i spełnienia obowiązku informacyjnego, a to jest nie- 
zgodne z prawem europejskim, a co najmniej wspomnianej przeze mnie dyrektywy i kon- 
stytucji naszego kraju, gdyż w art. 51 są zapisane podstawowe uprawnienia obywatela 
i na pewno uprawnienie do wyrażania zgody, wypełnienia wobec niego obowiązku infor- 
macyjnego, bo każdy z nas ma prawo wyrazić sprzeciw i tym się zasadniczo różnimy. 
Szanowna Wysoka Komisjo, ale są elementy dosyć pozytywne, pozwolę sobie więc prze- 
czytać bardzo istotny komunikat prasowy Komisji Europejskiej z 29 lutego, który dzisiaj 
otrzymaliśmy, że amerykański sekretarz stanu John Kerry obiecał, jest słowo — obiecał, 
że Europejczycy będą mieli możliwość dochodzenia roszczeń wobec amerykańskich służb 
wywiadowczych za pośrednictwem Rzecznika Praw Obywatelskich, tego nie było do tej 
pory, w Departamencie Stanu — niezależnego od krajowych służb bezpieczeństwa. Rzecz- 
nik Praw Obywatelskich będzie zajmował się skargami i pytaniami obywateli i poinfor- 
muje ich, czy w danym przypadku przestrzegano obowiązujących przepisów. Wszystkie 
pisemne zobowiązania zostaną opublikowane w amerykańskim rejestrze federalnym. 
Tam nie ma organu ochrony danych i będzie można przez sąd występować z ewentual- 
nymi roszczeniami, ale to chodzi o amerykańskie służby specjalne. Powszechnie wia- 
domo, że Agencja Bezpieczeństwa Narodowego Stanów Zjednoczonych przetwarza 
codziennie, nie wiem czy nie zaniżę, 2 mld informacji. Jest specjalny serwer w stanie 
Utah, który ma swoją elektrownię atomową tylko dla ich potrzeb. To jest jedna sprawa 
— bezpieczeństwa. Druga sprawa, to jest sprawa wolności przetwarzania naszych danych 
dla celów gospodarczych, to jest profilowanie i wykorzystywanie naszych danych dla 
różnych celów handlowych i dla marketingu. Trzecia sprawa to jest przestępcza kradzież 
tożsamości. Sytuacja jest bardzo poważna i w ramach tego wspomnianego przeze mnie 
transatlantyckiego porozumienia handlowego, to również nasza komisja do spraw euro- 
pejskich, bo nie pamiętam w tej chwili która, wyraziła swoje dosyć odrębne zdanie, gdyż 
według Komisji Europejskiej wszystkie decyzje mają zapadać na szczeblu europejskim, 
a jest dosyć szeroki ruch społeczny, poza komisjami parlamentów europejskich, żeby 
miały one charakter mieszany i żeby te przepisy, które w jakiś sposób, jak już wspomnia- 
łem, naruszają konstytucję polską, miały charakter mieszany i były zatwierdzane przez 
dany parlament. 
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Tak, że sytuacja w tej sprawie jest dynamiczna. Jest światło, które powoduje, że Stany 
Zjednoczone bardzo mocno przejęły się ochroną danych osobowych i dostosowaniem się 
do poziomu europejskiego. Nawet w jednej z publikacji przeczytałem, że rozpoczęły się 
prace nad ewentualną ustawą dotyczącą ochrony danych osobowych, a więc privacy act, 
czyli prawo do prywatności, ale rozbieżność między samym spojrzeniem i myśleniem 
o ochronie danych osobowych, jak i przepisami prawnymi między USA a Europą, jest 
bardzo zasadnicza i poważna. Takie byłoby, panie przewodniczący, Wysoka Komisjo, 
moje wprowadzenie. 


Przewodniczący poseł Paweł Pudłowski (N): 
Uprzejmie dziękuję za tę prezentację otwierającą i chciałem poprosić o zabranie głosu 
sekretarza w Ministerstwie Cyfryzacji pana Witolda Kołodziejskiego. 


Sekretarz stanu w Ministerstwie Cyfryzacji Witold Kołodziejski: 
Dziękuję bardzo, panie przewodniczący. Szanowni państwo, rzeczywiście najistotniej- 
szym elementem dzisiejszej dyskusji jest przyszła „tarcza prywatności”, kwestia „Safe 
Harbour” czy kwestia rozporządzenia o ochronie danych osobowych, które jest istotne, 
jeśli chodzi o oddziaływanie na rynku europejskim, natomiast w sprawach Unia Europej- 
ska-Stany Zjednoczone powinniśmy mówić dziś już tylko o nowej umowie, a więc o „tar- 
czy prywatności”. Ze wstępnych analiz treści przedmiotowej umowy wynika, że to jest 
porozumienie między rządem amerykańskim i Unią Europejską, które ma charakter 
dobrowolnego porozumienia. Przypomnę, że pierwsze porozumienie, czyli „Safe Har- 
bour”, było zainicjowane przez Unię Europejską w związku z problemem, który zrodził 
się w związku z rozwinięciem i zastosowaniem nowych technologii i nowych rozwią- 
zań internetowych, jakimi były serwisy społecznościowe i wyszukiwarki internetowe, 
które tak naprawdę operowały na terenie Stanów Zjednoczonych, ale działały na terenie 
Europy i korzystali z nich obywatele państw europejskich. Chodziło o warunki prawne 
i jasną sytuację prawną, jak również o pewną ochronę obywateli Europy, którzy już fak- 
tycznie korzystali z tej amerykańskiej oferty i tak jest zresztą oczywiście dzisiaj. W tej 
kwestii po wyroku Trybunału powstała luka prawna, która przede wszystkim przeszka- 
dzała i utrudniała pracę przedsiębiorcom europejskim i takie sygnały otrzymaliśmy 
z rynku, bo niejasne podstawy prawne utrudniały poruszanie się po tej dosyć skompli- 
kowanej materii. W związku z tym zapowiadano nowe porozumienie, które bardzo nas 
ucieszyło nie tylko ze względu na ochronę praw do ochrony danych osobowych obywateli 
Unii Europejskiej, a więc również obywateli polskich, ale także ze względów ekonomicz- 
nych i na warunki funkcjonowania przedsiębiorców w Polsce. Zgodnie z zapowiedziami 
Komisji Europejskiej nowy instrument będzie rozszerzał obowiązki amerykańskich 
przedsiębiorstw w zakresie ochrony danych osobowych obywateli Unii Europejskiej, 
wzmocni również nadzór i egzekwowanie przepisów przez Departament Handlu oraz 
Federalną Komisję Handlu USA. Jednocześnie zgodnie z nowym porozumieniem Stany 
Zjednoczone zobowiązują się, że na mocy amerykańskich przepisów, dostęp organów 
publicznych do danych osobowych, to jest pokłosie afery Snowdena, a więc to jest kwe- 
stia amerykańskiego wywiadu i jakby cały kontekst wyroku Trybunału Sprawiedliwości 
jest tutaj również wspomniany, że dostęp tych organów przekazywany będzie w ramach 
nowego mechanizmu i będzie podlegać jasnym warunkom ograniczającym, nadzorują- 
cym i uniemożliwiającym powszechny dostęp do takich danych. Jeżeli te warunki i te 
zapowiedzi Komisji będą spełnione, to myślimy, że to jest to, co nas usatysfakcjonuje 
ito, co chcieliśmy uzyskać przy nowym porozumieniu. W tym kontekście, jako Mini- 
sterstwo Cyfryzacji, jesteśmy bardzo zadowoleni, że takie porozumienie będzie podpi- 
sane i chcielibyśmy, żeby weszło w życie jak najszybciej. Jeśli chodzi o nasz stosunek 
do tego już bardziej szczegółowy, to my oczywiście opowiadamy się za rygorystycznym 
przestrzeganiem tych obowiązków i konsekwentnym egzekwowaniu tych przepisów, jeśli 
chodzi o nałożenie ich na amerykańskie przedsiębiorstwa przetwarzające dane osobowe 
Europejczyków, na regularnym monitorowaniu funkcjonowania porozumienia, na sku- 
tecznej ochronie praw obywateli Unii Europejskiej, obejmującej możliwość dochodzenia 
roszczeń, jak również możliwość dochodzenia roszczeń przed sądami amerykańskimi, 
co w starym porozumieniu, a szczególnie po jego uchyleniu, było niemożliwe. Powo- 
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dowało to paradoksalną sytuację, że obywatele europejscy mieli dużo mniejsze prawa 
i możliwości niż nie tylko obywatele amerykańscy, ale też inni obywatele, innych państw 
na świecie. Wiec tutaj to było dla nas bardzo ważne i liczymy nato, że to się znajdzie 
w tym nowym porozumieniu, że na potrzeby skarg dotyczących ewentualnego dostępu 
do danych przez krajowe służby wywiadowcze powołany zostanie odrębny rzecznik 
praw obywatelskich oraz, że wreszcie będą jasne procedury zgłaszania nieprawidłowo- 
ści, że Generalny Inspektor Ochrony Danych Osobowych będzie pełnił tutaj rolę takiego 
pośrednika dla polskich obywateli, którzy będą mieli jasno wskazane możliwości i drogę 
załatwiania swoich spraw i drogę dochodzenia swoich roszczeń. To jest rzecz, na której 
nam bardzo zależy, niemniej jednak chcieliśmy podkreślić przy okazji tego posiedzenia, 
że nie odrywamy się od rzeczywistości. To znaczy, że te regulacje nie powinny być regu- 
lacjami restrykcyjnymi na tyle, żeby hamowały rozwój usług, które bazują na transatlan- 
tyckiej wymianie danych, ponieważ dzisiaj z takich serwisów jak Facebook dziennie 
w Polsce korzysta 10 mln Polaków, w skali Europy jest to oczywiście liczba odpowiednio 
przemnożona, ale także chodzi o aktywność na innych serwisach, na przykład jeśli cho- 
dzi o korzystanie z wyszukiwarek internetowych, gdzie Google jest tu zdecydowanym 
leaderem, ale także o przedsiębiorców, którzy coraz pełniej korzystają z możliwości, 
które są im udostępniane. Miejmy na uwadze to, że przetwarzanie danych osobowych 
to jest również korzystanie z Mapy Google i z nawigacji, że przetwarzanie danych oso- 
bowych to są portale społecznościowe, ale także serwisy aukcyjne, więc krótko mówiąc, 
nie da się oddzielić pewnych mechanizmów, które w świecie internetowym są transgra- 
niczne i transeuropejskie. Tak rzeczywiście jest, że Stany Zjednoczone są liderem tych 
technologii, więc tutaj większość uwagi skupia się na, powiem geograficznie, serwerow- 
niach i serwerach amerykańskich. Natomiast nie chcielibyśmy wylać dziecka z kąpielą 
przy implementacji tych przepisów i tego rozporządzenia. Zresztą mieliśmy w zeszłym 
tygodniu spotkanie z przedstawicielem Facebooka na Europę, Afrykę i część Azji, w kaz- 
dym razie wyraźnie podkreślaliśmy z jednej strony konieczność jasnych reguł, proce- 
dur, trybu odwoławczego w celu ochrony obywateli, a z drugiej strony podkreślaliśmy, 
że wzajemne zaufanie przedsiębiorcy i obywatela, który korzysta z serwisu, też buduje 
i rozwija daną inicjatywę czy dane przedsięwzięcie. Mamy więc tutaj pełną zgodę i myślę, 
że wypracowanie kodeksu dobrych praktyk jest tutaj jak najbardziej możliwe, bo wydaje 
się, że wszyscy są zainteresowani tym, żeby użytkownicy Internetu i serwisów inter- 
netowych mieli zaufanie, a żeby mieć to zaufanie to z kolei przedsiębiorcy muszą doło- 
żyć wszelkich starań, żeby zapewnić im maksymalną ochronę ich prywatności. Wydaje 
się, że przy tak rozumianym podejściu zarówno ze strony przedsiębiorców europejskich 
i amerykańskich, jak i ze strony Generalnego Inspektora Ochrony Danych Osobowych, 
uda się tutaj osiągnąć consensus, niekoniecznie uciekający się do jakiś radykalnych roz- 
wiązań prawnych, aczkolwiek takie zabezpieczenie zawsze musimy mieć, bo takie poro- 
zumienie jest dla nas bardzo istotne. Dodam jeszcze na koniec, że wspólnie z GIODO 
jesteśmy już na końcowym etapie, a właściwie jest już ukończone tłumaczenie rozporzą- 
dzenia o ochronie danych osobowych, które to rozporządzenie będzie implementowane 
przez dwa lata, więc to jest ten moment, kiedy jeszcze możemy dokładnie doprecyzować 
wzajemne relacje, ale też sposób ochrony danych osobowych Europejczyków i Polaków 
w Unii Europejskiej po to, żeby zapewnić im te maksymalne gwarancje. Dziękuję bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję, panie ministrze. Otwieram dyskusję. Kto z państwa chciałby zabrać 
głos? Pan poseł? Nie. Bardzo proszę, Lewiatan, pani Magdalena Piech. 


Ekspert w Departamencie Prawnym Konfederacji Lewiatan Magdalena Piech: 


Dzień dobry państwu. Magdalena Pech Konfederacja Lewiatan. Bardzo dziękuję 
za to wprowadzenie do dyskusji i przybliżenie tych zasad nowej tarczy bezpieczeństwa. 
Ja mam pytania, ale zanim je zadam, to chciałabym powiedzieć kilka słów komentarza. 
Może warto podkreślić dla tych państwa, którzy nie śledzili tego na bieżąco, że przedmio- 
tem orzeczenia Trybunału nie była kwestia tego, czy Facebook jako firma amerykańska 
w należyty sposób chroni dane osobowe, tylko tego czy to porozumienie „Safe Harbour”, 
co do którego kiedyś Komisja Europejska stwierdziła, że jest adekwatne, czyli zapew- 
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nia adekwatny poziom ochrony, a więc taki jak w Unii tylko na innych zasadach, nadal 
tę adekwatność zapewnia, właśnie w związku z tymi wydarzeniami, o których mówił pan 
minister, a więc o aferze Snowdena. Trybunał powiedział, że ze względu na te wydarze- 
nia już nie można mówić, że ochrona jest adekwatna między innymi dlatego, że dostęp 
służb do naszych danych, a więc obywateli Unii Europejskiej, był zbyt łatwy i nadmierny. 
To tak tytułem uzupełnienia. Rzeczywiście kwestia transferów danych, podobnie jak 
kwestia rozporządzenia o ochronie danych, które było negocjowane ponad 4 lata, to jest 
kwestia kluczowa dla firm europejskich, które prowadzą działalność w Stanach Zjedno- 
czonych jak i odwrotnie. To rozporządzenie, które zostało przyjęte, to jest ogromny wysi- 
łek harmonizacyjny, który ma ułatwić firmom, także europejskim, prowadzenie działal- 
ności w całej Unii. Zasady dotyczące transferów, są niezbędnym uzupełnieniem sposobu 
funkcjonowania tych firm w Unii. Trzeba podkreślić, że samo rozporządzenie przewiduje 
kilka sposobów, tak jak to było zasygnalizowane, transferowania tych danych. Można 
zawrzeć odpowiednie zasady ochrony danych w umowach z partnerami z państw trze- 
cich, czy ze Stanów Zjednoczonych. Można też, na zasadzie tak zwanych wewnętrznych 
reguł korporacyjnych, uregulować to, na jakiej zasadzie transfery będą prowadzone, 
bo te transfery odnoszą się nie tylko do danych klientów, ale także, co ważne, do danych 
pracowników tych firm amerykańskich, które prowadzą działalność w Unii Europej- 
skiej, w Polsce, bo bardzo często kwestie pracownicze i te dane pracownicze muszą 
z różnych powodów być przekazywane, czy też dane współpracowników firm unijnych 
i jest to po prostu niezbędne do funkcjonowania takich ogólnoświatowych czy globalnych 
korporacji. Z tym, że rzeczywiście „Safe Harbour”, czy teraz „Tarcza prywatności” jest 
najlepszą formułą, bo ona zapewnia bardzo kompleksowe podstawy do tego, żeby te dane 
przetwarzać. Dlatego w pełni zgadzam się z tym, co panowie powiedzieli, że to jest bar- 
dzo ważne i ma znaczenie dla funkcjonowania firm. 

Chciałam zapytać, czy mogliby państwo bardziej konkretnie te wstępne zasady nam 
przybliżyć i kiedy to porozumienie ma szansę zacząć obowiązywać? Dziękuję bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 
Chodzi o „Tarczę prywatności”? 


Ekspert w Departamencie Prawnym Konfederacji Lewiatan Magdalena Piech: 
Tak jest. 


Przewodniczący poseł Paweł Pudłowski (N): 
Czy ministerstwo może udzielić takiej odpowiedzi? 


Sekretarz stanu w MC Witold Kołodziejski: 

Jeżeli miałbym konkretne rzeczy, to podzieliłbym się nimi z państwem na wstępie. 
Dopiero co to otrzymaliśmy, prowadzimy analizę, więc te konkrety będą przybliżane 
dopiero z czasem. Z samego komunikatu Komisji wstępnie wynika, że ta nowa „tarcza” 
rozszerza obowiązki amerykańskich przedsiębiorstw w zakresie ochrony danych oso- 
bowych, że Stany Zjednoczone zobowiązują się, że na mocy amerykańskich przepisów 
dostęp organów publicznych do danych osobowych będzie podlegać jasnym warunkom, 
ograniczeniom i nadzorowi, uniemożliwiającym powszechny dostęp do takich danych. 
To było dla nas bardzo istotne i to był też punkt kontrowersyjny, bo sprawa dotyczyła 
wywiadu amerykańskiego i wydaje się, że nastąpił na tej drodze postęp, ale konkretów 
jeszcze nie mogę przedstawić, bo sam ich nie znam i dopiero je analizuję. Nie wystarczy 
zapoznać się z tekstem, przetłumaczyć go i przeczytać. Trzeba je jeszcze przeanalizować, 
bo to jest porozumienie prawne, a więc jest to formuła, która wymaga analizy. 


Przewodniczący poseł Paweł Pudłowski (N): 

Bardzo dziękuję. Rozumiem, że to jest i będzie również część TTIP, tak? 
Sekretarz stanu w MC Witold Kołodziejski: 

Nie. 


Zastępca GIODO Andrzej Lewiński: 
Jeśli mogę, to chciałbym zabrać głos. Może być ewentualnie używana jako jedna z form 
do przekazania danych, tak jak powiedziała pani z Konfederacji Lewiatan. Ja tylko 
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chciałbym powiedzieć, że myślę, iz tak duże przekonanie i tak duża presja czasu, tak 
jak powiedział pan minister, również ilość pozytywnych przejawów rozwoju biznesu 
wymiany, handlu, dotyczących przetwarzania danych wynika z tego, że nawet prze- 
wodniczący Komisji Europejskiej Juncker powiedział wyraźnie, że uznał to za wyne- 
gocjowaną umowę ramową, ale my tak jak ministerstwo mamy ją na razie w języku 
angielskim i wciąż ją analizujemy. Ja tylko powiem jeszcze jedno, tu nie chodzi o to, 
żebyśmy ograniczali jako GIODO, jako ten strażnik prawa do prywatności, możliwość 
świadomego korzystania przez obywatela z tych wszystkich pozytywów, bo ja też jestem 
na Facebooku, Google i wszędzie, chociaż więcej czytam niż piszę, bo nie można być 
niefrasobliwym. Ale na przykład Facebook został oskarżony przez organ ochrony danych 
osobowych w Belgii, że na zasadach cookies, a więc takiego narzędzia, które pozostawia 
ślady, nie pamiętam tej drugiej części nazwy, ale profiluje osoby, które nie są członkami, 
a których dane się pojawiają w ramach innych rozmów na Facebooku. W tej sprawie 
jest już wyrok pierwszej instancji i jest to wyrok wysoki, liczony w milionach dolarów. 
Chciałem powiedzieć, o czym zresztą mówił pan minister, że GIODO będzie innym orga- 
nem po wejściu w życie rozporządzenia, bo GIODO ma możliwość zastosowania dwóch 
form kar finansowych: do 10 mln euro i do 2% światowego obrotu oraz do 20 mln euro 
i do 4% światowego obrotu. Musimy razem z ministerstwem, jako ustawodawcą, roz- 
pisać to wszystko w ciągu 2 lat. My nie mówimy, że nie można, tylko pytamy, do czego 
te dane będą przetwarzane i używane? Chciałbym zwrócić uwagę, że jest mocny pro- 
test wielkich korporacji, które nie chcą tego, bo tracą zaufanie użytkowników. Micro- 
soft bardzo mocno oponował przed tym aktem prawnym, o którym mówiłem, że wszedł 
w życie w Stanach Zjednoczonych, że trzeba się zgłaszać i wtedy służby nie muszą naka- 
zywać, tylko sami z urzędu muszą przekazywać pewne dane. Microsoft podjął decyzję, 
że będzie budował serwery w ramach cloud computing tylko w Europie, czyli nie będzie 
tego transferu do krajów trzecich. Dziś sławny jest proces, który toczy się przed sądami 
Stanów Zjednoczonych, Apple i FBI o tak zwany back door, czyli dojście do programu, 
do złamania określonego programu na zlecenie prowadzącego postępowanie z określonej 
służby i to takiego złamania z urzędu, a sprawa jest poważna, bo dotyczy terroryzmu. Te 
wielkie firmy czują niebezpieczeństwo utraty zaufania, a utrata zaufania to jest odpływ 
klientów, których być może będzie można liczyć w milinach czy miliardach, z biznesu, 
który jest na pewno pożyteczny, ale przynosi też wielkie zyski. Dziękuję. 


Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję, panie dyrektorze. Ja myślę, że nasze dzisiejsze posiedzenie Komisji 
trzeba traktować jako wprowadzające, bo trochę brak nam treści do dyskusji. Tak, że jeśli 
chodzi o kwestie szczegółowe, dotyczące „Tarczy prywatności” i te obszary w zakresie 
ochrony danych osobowych, które będą częścią TTIP, byłyby dobrą pożywką dla nas 
w dyskusji. Teraz, jak rozumiem, wyprzedzająco przygotowujemy się do tej dyskusji, 
natomiast brakuje nam treści. Czy jeszcze ktoś z państwa chciałby zabrać głos? Bardzo 
proszę, pani poseł Barbara Dziuk. 


Poseł Barbara Dziuk (PiS): 


Panie przewodniczący, panie ministrze, szanowni państwo. Bardzo się cieszę, że takie 
postępowanie się odbywa, bo z racji tego, że jestem informatykiem od prawie 20 lat 
i przeszłam całą transformację cyberprzestrzeni, zawsze mam obawy w związku z tym, 
gdyż oczywiście sama też funkcjonuję w tej cyberprzestrzeni, że te wiadomości są wyko- 
rzystywane nie tak, jak powinny. Przecież obserwujemy przestępstwa gospodarcze 
mające miejsce w cyberprzestrzeni i w związku z tym te regulacje są bardzo potrzebne. 
Natomiast ja bym miała taką uwagę, żeby bronić się przed takimi posunięciami, jak 
stworzenie nie wiadomo przez kogo kont, które w ewidentny sposób mogą wpływać 
na gospodarkę oraz na osoby, które są w pewien sposób obrażane, bo te kwestie też 
są dosyć mocno wyartykułowane, jeżeli chodzi o procesy sądowe. Ja to mówię na przy- 
kładzie własnej osoby, bo akurat też się zderzyłam z taką sytuacją, a jest to bardzo przy- 
kre i trudne do udowodnienia, więc te regulacje prawne są bardzo potrzebne. Ja myślę, 
że dużo jeszcze jest przed nami, bo ta sfera rozwinęła się bardzo szybko i my za tymi 
aspektami prawnymi niestety nie nadążamy. Myślę, że te kierunki, które obrało mini- 
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sterstwo, są bardzo istotne, ale myślę też, że czas działa na naszą niekorzyść i takie 
przyśpieszenie prac byłoby dobre. Myślę też, że eksperci z dziedzin informatycznych 
mieliby tutaj wiele do powiedzenia. Dziękuję. 


Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję za ten głos rozsądku w naszej dyskusji. Bardzo proszę. 


Zastępca GIODO Andrzej Lewiński: 


Jeśli szanowna Komisja pozwoli, to ja dodam jeszcze tylko jedną dziedzinę, która mogłaby 
być tematem posiedzenia i jest to kradzież tożsamości. Jest to przestępstwo XXI wieku, 
przestępstwo Millenium, które rośnie w zatrważającym tempie. My jako GIODO nie 
boimy się i niedługo przygotujemy takie wystąpienia, które przygotowujemy w oparciu 
o inspekcje w bankach i opinie ekspertów, głównie do naszego, współpracującego z nami 
przyjaznego ministerstwa, ale też do pewnej polityki, że kredyty udzielane przez Inter- 
net nie zapewniają minimum bezpieczeństwa i jest to tak straszna ilość kradzieży toż- 
samości, że porównuję ją do takiego łatwego udzielania kredytów we frankach i innych 
walutach. Teraz to wszystko odbywa się przez Internet w różnej formie i istnieją tutaj 
obawy i trzeba będzie się głęboko zastanowić, czy można udzielać kredytów w takiej 
formie, nie naruszając prawa bezpieczeństwa. Podam inny przykład, jest to na przykład 
weksel. To są bardzo poważne sprawy, a przepisy mówią, że nie trzeba identyfikować 
podpisu. Dlaczego nie zażądać podpisu notariusza, skoro tutaj kradzieże idą w miliny. 
Tak, że chciałem tylko powiedzieć, że kradzież tożsamości w tej dziedzinie, o której teraz 
mówimy, jest niezwykle istotna i podejmowana. Ja się cieszę, bo my mamy duże zrozu- 
mienie ze strony ministerstwa, a muszę powiedzieć, że „robimy bokami” i mamy wielkie 
kłopoty. Tak jak powiedziała pani poseł, tematyka narosła, przestępczość przeniosła się 
do Internetu, jutro zresztą spotykamy się roboczo w tej sprawie i wymaga to mocnej 
mobilizacji wielu podstawowych służb i organów w Polsce. Dziękuję. 


Przewodniczący poseł Paweł Pudłowski (N): 


Dziękuję uprzejmie. Bardzo proszę. 


Poseł Barbara Dziuk (PiS): 


Chciałam dodać jeszcze jedno dosyć ciekawe zagadnienie, a mianowicie jest ostatnio roz- 
wijająca się taka dziedzina jak medycyna teletransmisyjna. Te dane też są bardzo deli- 
katne i wrażliwe i tutaj też zabezpieczenie tej cyberprzestrzeni jest bardzo istotne. Wia- 
domo, że formy leczenia idą teraz do przodu i pojawiają się nowoczesne techniki. Sama 
uczestniczyłam w kilku takich pokazach i jest to bardzo dobre, natomiast ja zawsze jako 
informatyk mam obawę dotyczącą zabezpieczenia tych wrażliwych danych. Dziękuję. 


Przewodniczący poseł Paweł Pudłowski (N): 


Dziękuję bardzo. Czy są jeszcze jakieś głosy w dyskusji, a ewentualnie pytania? Bardzo 
proszę. 


Sekretarz stanu w MC Witold Kołodziejski: 
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Szanowni państwo, na koniec chciałbym tylko podkreślić, żeby nie demonizować sytu- 
acji. Problem jest poważny, ale nie należy go demonizować, bo tak naprawdę jeśli chodzi 
o ten wyrok w sprawie Schrems, to tam chodziło o to, że przepisy europejskie o ochronie 
danych osobowych są wtórne, czy mniej ważne, jeśli chodzi o problematykę przekazywa- 
nia danych i bezpieczeństwo danych w Stanach Zjednoczonych i ta nowa umowa ma wła- 
śnie to naprawić. My jesteśmy w trakcie wdrażania rozporządzenia dotyczącego ochrony 
danych osobowych, więc nasze wymagania będą się sprowadzały do tego, żeby obywatele 
Unii Europejskiej mieli takie samo zabezpieczenie prawne, jeśli chodzi o ochronę swoich 
danych, w przypadku wymiany danych na terenie Stanów Zjednoczonych jak na tere- 
nie Unii Europejskiej, czyli krótko mówiąc, żeby to był ten sam poziom bezpieczeń- 
stwa i mamy w tej chwili takie gwarancje, że w tę stronę to porozumienie i ta umowa 
zmierza. Z drugiej strony chciałem przypomnieć, że na przykład w takiej sprawie jak 
naruszenie ochrony danych i ujawnienie tych danych, przykładem może być słynna 
sprawa Stonogi i to nie chodzi o kontekst polityczny, tylko o kwestię ujawnienia danych 
osobowych, gdzie było imię, nazwisko i adres zamieszkania, a więc coś, co rzeczywiście 
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nie powinno być ujawniane, portal społecznościowy, którym w tym przypadku był Face- 
book, zareagował po 3 godzinach od ukazania się tych danych. Krótko mówiąc, reakcja 
nastąpiła bardzo szybko i pewnie interwencja GIODO tak szybko by nie zadziałała, jak 
interwencja zarządu Faceboka, więc to też nie jest tak, że tu coś złego się dzieje, aczkol- 
wiek trzeba dmuchać na zimne i te mechanizmy muszą być sprawne, wdrożone i funk- 
cjonujące. Natomiast ci przedsiębiorcy są bardzo chętni do współpracy, dlatego tak często 
mówimy o kodeksie dobrych praktyk, bo wydaje się, że w tym wypadku można bardzo 
wiele zyskać przy samych praktykach. Dziękuję bardzo. 


Przewodniczący poseł Paweł Pudłowski (N): 


Bardzo dziękuję. Jeszcze pani poseł, proszę bardzo. 


Poseł Barbara Dziuk (PiS): 


Ja tylko chciałam powiedzieć taką ciekawostkę, żeby nie przedłużać obrad Komisji, 
że ponad dwa lata temu w urzędzie marszałkowskim na Sląsku zdarzyła się rzecz, że pra- 
cownicy źle zabezpieczyli dane wrażliwe, a chodziło o działki i o wszystkie dane oso- 
bowe. Niby korzystali z programu, który był przeznaczony do zabezpieczeń, natomiast 
cała gmina ze wszystkimi danymi została pokazana i dane te mogły być wykorzystane. 
Teraz pilnujemy tego od strony proceduralnej związanej z przestępstwami gospodar- 
czymi. To chodziło o strefę oddziaływania okołolotniskowego i wszystkie działki, wszyst- 
kie pesele i dane były pokazane na stronie internetowej i wisiało to ponad tydzień. Jest 
prowadzone postępowanie w sprawie osób odpowiedzialnych za ten stan rzeczy. Wierzcie 
państwo, że my tutaj pracujemy nad zabezpieczeniami prawnymi, natomiast te informa- 
tyczne sprawy naprawdę są bardzo istotne i bardzo ważne. Dziękuję. 


Przewodniczący poseł Paweł Pudłowski (N): 


Uprzejmie dziękuję. Zamykam dyskusję. Stwierdzam, że porządek dzienny został wyczer- 
pany. Protokół posiedzenia wraz załączonym zapisem jego przebiegu jest do wglądu 
w sekretariacie Komisji w Kancelarii Sejmu. Dziękuję bardzo. 
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